データダイオードを介したログ、アラート、およびテレメトリの送信

詳細はこちら
サイト翻訳には人工知能を利用しており、正確性を追求しておりますが、必ずしも100%正確とは限りません。ご了承ください。
ホーム/ ブログ / OPSWAT PCI DSS の実現にどのように貢献するか…
ファイル・セキュリティ

OPSWAT 、ファイルセキュリティを通じて PCI DSS 準拠の実現をどのように支援するか

著者: OPSWAT
この記事を共有する

PCI DSS(ペイメント・カード・インダストリー・データ・セキュリティ・スタンダード)4.0.1 に基づくファイルセキュリティ対策に不備があることが判明した場合、次に考えるべきは実務的な問題です。つまり、具体的な是正措置とはどのようなものなのでしょうか?

PCI DSSでは、CDE(カード保有者データ環境)を、カード保有者データを保存、処理、または送信するすべてのシステム、およびそうしたシステムに制限なくアクセスできるすべてのシステムと定義しています。この境界はネットワークおよびアクセス制御レベルで強制されますが、ファイルレベルでは絶えず越えられています。 WebトラフィックはファイルをCDE内に運び込みます。電子メールは、CHD(カード保有者データ)を処理するシステムに添付ファイルを配信します。リムーバブルメディアは、ネットワーク制御の及ばない物理的な境界を越えてファイルを移動させます。ファイルセキュリティこそが、コンテンツ層においてCDEの境界を強制するものです。

MetaDefender OPSWAT、重要インフラ保護のためのAI搭載MetaDefender 。本記事では、規格の主要なMetaDefender との対応関係を明らかにし、セキュリティチームやコンプライアンス関係者が、具体的な観点から対応範囲を評価できるようにしています。

MetaDefender 、マルチエンジンによるマルウェア検出、ファイルのクリーンアップ、脆弱性評価、リムーバブルメディアの管理、および一元化されたログ記録を通じて、PCI DSS 4.0.1の要件1、2、5、6、8、9、10、11、MetaDefender 、CDEが公開するあらゆるファイル取り込みチャネルを網羅しています。

このトピックが初めてですか?まずは、PCI DSS コンプライアンスプログラムにおいてファイルセキュリティが不可欠な理由について解説した当社のブログをご覧ください。このブログでは、7つのファイル取り込みチャネルにわたる4.0.1の要件の全範囲を網羅しています。

第1部:ファイルのセキュリティ要件

要件5、6、および11は、ファイルのセキュリティがコンプライアンスに最も直接的な影響を及ぼす部分です。また、これらは金融サービス業界において、セキュリティ対策の不備が最も多く見られる部分でもあります。

要件 5:すべてのシステムおよびネットワークを悪意のあるSoftwareから保護する

要件5では、組織に対し、CDE内のすべてのシステムにおいて、悪意のあるソフトウェアを防止、検出、および対処する包括的なマルウェア対策ソリューションを導入・維持することが求められています。これには、有効かつ最新の防御策の確立、リアルタイムまたは定期的なスキャン実施、およびフィッシング対策メカニズムの導入が含まれます。その対象範囲は、Webゲートウェイ、電子メールゲートウェイ、クラウドストレージ、エンドポイント、およびリムーバブルメディアにまで及びます。

OPSWAT 、悪意のあるSoftwareからシステムやネットワークを保護 OPSWAT

OPSWAT Metascan™Multiscanning OPSWAT、30種類以上の商用マルウェア対策エンジンを活用し、既知のマルウェアを極めて高い精度で検出します。一方、Deep CDR™テクノロジーは、ファイルを安全で利用可能な形式に再構築することで、ゼロデイ脅威や埋め込み型脅威を予防的に無力化します。

  • MetaDefender 、すべての主要なファイル取り込みチャネルにおいて、多層的な詳細なコンテンツ検査機能を提供します。
  • MetaDefender の高度なサンドボックス機能により、シグネチャベースの検知では見逃されてしまう、検知回避型やファイルレスのマルウェアを検出します。
  • MetaDefender Security™ は、フィッシングの添付ファイルや不審なコンテンツを、受信前にブロックします。
  • MetaDefender ICAP 、HTTP/S トラフィックをスキャンし、内部システムに到達する前に、転送中の悪意のあるファイルを検出してブロックします。
  • My Central Management、導入環境全体にわたるログ管理、エンジンの更新、およびコンプライアンス状況の可視化を一元管理します。

要件 6:Secure およびSoftwareの開発と維持

要件 6 は、CDE 内のすべてのシステムおよびソフトウェアが、そのライフサイクル全体を通じて安全に開発、保守、保護されることを保証するものです。 PCI DSS 4.0.1は、セキュリティ脆弱性の悪用を防止することと、カスタムソフトウェアやサードパーティ製ソフトウェアを通じて生じるリスクを低減することという2つの目的に焦点を当てています。要件6.3.2では、脆弱性管理のために、これらのコンポーネントのインベントリを常に最新の状態に保つことが具体的に求められています。これは、タイムリーなパッチの適用、安全なSDLC(Software ライフサイクル)の実践、および安全なコードリポジトリの維持管理を意味します。

OPSWAT Secure Software Secure どのようにOPSWAT Software 開発・保守

MetaDefender 、ソフトウェアコンポーネントやファイルパッケージが本番環境に導入される前に、それらを詳細に可視化することで、要件6MetaDefender 。

  • マルチエンジン型ファイル脆弱性評価では、バイナリ、インストーラー、および依存関係に含まれる既知のCVE(Common Vulnerability and Exposure)エントリを検出するため、安全性が確認されたコンポーネントのみが環境に導入されます。
  • MetaDefender Core MetaDefender ICAP Server 、外部または信頼できないソースに由来するコンテンツに対する Web アプリケーションのファイルセキュリティおよびトラフィック検査Server 。
  • MetaDefender Software Chain™ は、サードパーティ製ライブラリを分析し、コードアーティファクトをスキャンして悪意のある要素や脆弱性のある要素を検出し、依存関係の透明性を高める SBOM(Software )を出力することで、開発ワークフローを強化します。

要件 11:システムおよびネットワークのセキュリティを定期的にテストする

要件11では、システムが新たな脅威に対して耐性を維持できるよう、継続的なセキュリティテスト(脆弱性評価、侵入テスト、侵入検知を含む)の実施が義務付けられています。要件11.3.1.2では、認証済みの内部スキャンが求められています。

OPSWAT Secure とSoftware Secure どのようにOPSWAT Software セキュリティテスト

MetaDefender 、file-based vulnerability assessment、マルチスキャン、サンドボックス分析、および重要なデータ取り込みポイントにおける脅威検出を通じて、要件11MetaDefender 。

  • MetaDefender Core、MetaDefender ICAP Server、MetaDefender Security™MetaDefender File Transfer™、MetaDefender Software Supply Chain 、ファイル、インストーラー、ソフトウェアパッケージ内の既知のCVEを、展開前にSupply Chain 。
  • MetaDefender (Network Detection and Response)は、ネットワークトラフィックを分析し、不審なファイルの挙動や侵害の兆候を検知します。
  • MetaDefender 、システム全体を対象とした脆弱性スキャンやネットワーク全体の侵入検知はMetaDefender 、ファイル経由の脅威が環境に侵入する主な経路において、ファイルの検証を行います。

第2部:CDE全体における要件の支援

ファイルのセキュリティは要件5、6、11の中心的な要素ですが、MetaDefender対応範囲は、この規格の他のいくつかの分野にも及んでいます。以下に、その貢献点をご紹介します。

要件 1:ネットワークセキュリティ対策の導入および維持

要件1では、CDEを保護するために、ファイアウォール、ルーター、境界保護装置などのネットワークセキュリティ対策の確立および維持が義務付けられています。これには、ネットワークのセグメンテーションの実施、ポリシーの設定、およびデータフローの文書化が含まれます。

物理的なアクセス制御はネットワークレベルで境界を保護しますが、ファイルはコンテンツ層において絶えずその境界を越えて移動しており、MetaDefender制御機能はまさにこのコンテンツ層で適用されます。

OPSWAT ネットワークセキュリティ対策の維持をどのようにOPSWAT

OPSWAT 、ネットワーク全体の主要な制御ポイントにコンテンツベースの脅威防止機能を追加することで、要件1をOPSWAT 。

  • MetaDefender 電子メール、Web、ストレージ、リムーバブルメディア、エンドポイントなどのチャネルを介してやり取りされるファイルを検査、クリーンアップ、検証し、ネットワーク制御によってトラフィックが許可されている場合でも、コンテンツ層におけるリスクを低減します。
  • MetascanのMultiscanning、Deep CDR™テクノロジー、およびProactive DLP 連携し、セグメント化された環境への悪意のあるコンテンツの侵入や、その環境内での移動を防止します。

要件 2:すべてのシステムコンポーネントにSecure 適用する

要件 2 は、サーバー、アプリケーション、ネットワーク機器を含むすべてのシステムコンポーネントが、安全に構成され、一貫して維持管理されることを保証するものです。これには、不要なサービスの削除、セキュリティ強化基準の徹底、およびシステムが長期にわたりそれらの構成に準拠し続けていることの確認が含まれます。

OPSWAT システムコンポーネントのSecure どのようにOPSWAT

MetaDefender 、ファイル、ソフトウェアパッケージ、インストーラーが本番システムに到達する前に、マルウェアや既知の脆弱性がないかスキャンすることで、この要件MetaDefender 。これにより、安全で検証済みのコンポーネントのみが、信頼レベルの異なる環境間を移動できるよう保証します。

  • MetaDefender Endpoint 、パッチ適用とセキュリティ状態の検証Endpoint 、一方で
  • MetaDefender Software Supply Chain 、サードパーティ製およびオープンソースのコンポーネントにおける脆弱性をSupply Chain 。要件 8:ユーザーを特定し、システムコンポーネントへのアクセスを認証する

要件 8:ユーザーを特定し、システムコンポーネントへのアクセスを認証する

要件8では、CDE内のシステムへのアクセスを保護するため、一意のユーザー識別およびMFA(多要素認証)を含む強力な認証管理の必要性を定めています。この要件は、パスワード基準、アカウント管理、本人確認、および認証情報の盗難に対する保護措置について規定しています。

OPSWAT ユーザー識別およびアクセス認証OPSWAT

MetaDefender 、MetaDefender Active DirectoryやSSO(シングルサインオン)プラットフォームなどの外部IAM(アイデンティティおよびアクセス管理)プロバイダーと統合することで、要件MetaDefender 、強力な認証と安全な管理アクセスを可能にします。

  • コンソールへのログインはHTTPSによって保護されており、My OPSWAT Central Management 、ローカル管理者アカウントの認証ポリシーCentral Management 。
  • また、Proactive DLP 、スキャン対象のファイル内にさらされている認証情報を検出することも可能です。

要件 9:カード会員データへの物理的アクセスを制限する

要件9は、カード保有者データを保存または処理するシステム、デバイス、および媒体に対する厳格な物理的セキュリティの維持に焦点を当てています。これには、物理的アクセスの制限、来訪者の管理、機密媒体の追跡、および物理的な形態のカード保有者データの安全な取り扱いと破棄を確保するための管理措置が含まれます。

リムーバブルメディアは、ネットワークのセグメンテーションと従来の境界防御の両方を迂回できる、数少ない物理的な攻撃経路の一つです。これが、要件9とMetaDefenderが具体的に重なる点です。

OPSWAT カード保有者データへのSecure アクセスをどのように Secure

ネットワークへの物理的なアクセスには、ネットワーク接続は必要ありません。リムーバブルメディアは、エアギャップ方式のシステムを含め、決済環境において最も直接的な物理的攻撃経路の一つです。

  • MetaDefender Kiosk MetaDefender Endpoint 、ファイルがセキュアなネットワークに出入りする前にUSB Endpoint クリーンアップし、物理メディアを介したマルウェアの感染を防止します。
  • 「My OPSWAT Central Management 」における一元化されたポリシー制御により、一貫した適用がCentral Management 。物理的なアクセス制御自体は引き続き組織の責任ですが、MetaDefender 物理的な境界においてファイル層のMetaDefender 。

要件 10:システム構成要素およびカード保有者データへのすべてのアクセスを記録し、監視すること

要件10では、システムへのすべてのアクセス、カード保有者データ、およびセキュリティに関連するイベントを追跡する、包括的なログ記録と監視の必要性が定義されています。完全な監査ログがあれば、フォレンジック分析、ユーザーの責任追及、および不審な活動の迅速な検出が可能になります。

OPSWAT カード会員データ環境におけるロギングとモニタリングをどのようにOPSWAT

MetaDefender 、各モジュールにおけるマルウェアスキャン、管理操作、脅威の検出、およびエンジンの更新に関する詳細なログを生成することで、要件10のMetaDefender 。

  • My OPSWAT Central Management 、この情報をCentral Management 、SIEM(セキュリティ情報およびイベント管理)プラットフォームと連携することで、より広範な相関分析と長期的なデータ保持を実現します。
  • MetaDefender 、OSレベルやネットワークレベルのログ記録システムに取って代わるMetaDefender 、導入環境全体にわたるファイルベースの脅威やMetaDefender について、信頼性の高い可視性を提供します。

要件 12:組織の方針およびプログラムを通じて情報セキュリティを支援する

要件12は、継続的な情報セキュリティプログラムのための組織的枠組みを定めています。この要件では、カード会員データを一貫して保護するために、正式なポリシーの策定、従業員への研修、インシデント対応プロセス、および継続的なリスク管理が義務付けられています。

組織のセキュリティポリシーには、MetaDefender ファイルの取り扱い、検査、およびログ記録の方法が含まれます。MetaDefender 、これらの一元的な適用を通じて、この要件のMetaDefender 。

OPSWAT 組織のポリシーやプログラムを通じて情報セキュリティをどのようにOPSWAT

MetaDefender 、悪意のあるファイルの活動を検知し、想定外の場所にある潜在的に機密性の高いカード保有者データを特定することで、要件12MetaDefender 。

  • 「My OPSWAT Central Management 」Central Management 、MetaDefender スキャン結果、セキュリティイベント、およびポリシーの適用状況を一元的に把握Central Management 。

まとめ

OPSWATPCI DSS 4.0.1に提供する機能OPSWAT、コンプライアンスアーキテクチャ全体を網羅しています。具体的には、マルチエンジンによる検知、ファイルのサニタイズ、脆弱性評価、リムーバブルメディアの管理、一元化されたログ記録、およびサプライチェーンの可視化などです。これらの機能により、CDEがさらされるあらゆる取り込みチャネルにおいて、同規格が定義するファイル由来の脅威対象領域に対処します。

コンプライアンス上のギャップを確実に解消しているチームは、単にツールの数を増やしているわけではありません。彼らは、適切な検査ポイントで適切な管理措置を実施し、それらすべてを一元的に把握できるようにしているのです。

「PCI DSS マッピングガイド」と「PCI DSS 初心者向けチェックリスト」をダウンロードMetaDefender 各要件にどのようにMetaDefender 具体的に確認し、現在のプログラムにどの部分にカバー範囲の不足があるかを特定してください。

続きを読む

PCI DSS コンプライアンス・プログラムにおいて、ファイルのセキュリティが不可欠な理由

PCI DSS 4.0.1におけるファイルセキュリティの観点について初めてお知りになった方へ。このブログ記事では、7つのファイル取り込みチャネルにわたって、この規格が要求する範囲を整理し、エンドポイント保護がそのうち1つしかカバーしていない理由について解説します。

タグ

最新の投稿

OPSWAT ニュースレター

OPSWAT 最新情報を、イベント情報とともにお届けします。 業界を牽引するニュースをお届けします。
サインアップする

ソーシャルメディアでフォローする

LinkedIn、Facebook、Twitter、YouTubeでOPSWATのフォローを !

OPSWATで最新情報をお届けします!

今すぐご登録ください、 ストーリー、イベント情報などをお届けします。
Subscribe